Bonjour tout le monde. Ça faisait longtemps que je n'avais rien posté ici. La dernière fois, j'avais l'impression que le monde ne tournait pas rond, et c'est encore plus le cas aujourd’hui. Cela se traduit par des internautes toujours plus à cran et qui remettent chaque jour en question mes illusions sur ce que signifie "toucher le fond". Mais qui sait ? Peut-être que dans cinq ans, je relirai cet article en me disant "ah, la la, les gens étaient sympas à l'époque, ça me manque". 

Mise à jour : J'ai démissionné de Kaspersky le 7 juin 2023. Je n'ai aucune raison de croire que les mots qui suivent étaient faux au moment où je les ai écrits. Cet article sera maintenu en ligne pour des raisons historiques, mais ne doit pas être interprété comme une représentation de ma situation ou de mes opinions actuelles.

Ce qui ne tourne pas rond ces jours-ci, c'est la Russie. Avant de se lancer dans le vif du sujet, je devrais peut-être clarifier une ou deux choses... La principale étant : je soutiens sans ambigüité le peuple ukrainien qui subit une agression armée injustifiable. La suivante, dont vous êtes dans doute déjà au fait si vous lisez ces mots, est que je suis un citoyen français employé par Kaspersky – le leader mondial des paratonnerres à russophobie (et fabriquant d'antivirus à ses heures perdues). J'ai rejoint la société en 2018, peu de temps après les accusations très médiatisées dirigées à son encontre par le gouvernement américain. Je suspectais que personne ne pouvait irriter autant d'individus haut placés sans accomplir des choses exceptionnelles... Ce en quoi j'avais raison, rétrospectivement.  

Désormais, les tensions entre la Russie et l'occident ont atteint leur niveau maximal depuis la crise des missiles de Cuba et Kaspersky se retrouve à nouveau dans le collimateur. Je pense être dans une position qui me permet d'apporter des réponses à un certain nombre d'inquiétudes formulées ça et là, et voudrais aussi partager une poignée de réflexions qui me taraudent depuis quelques temps. Cet article n'est pas une opération de communication officielle (c'est pour ça qu'il est publié sur mon blog personnel) ni officieuse. Je suis l'auteur de chaque mot de cette page ; personne ne m'a d'ailleurs demandé de les écrire. Vous me reprocherez peut-être de ne pas être impartial, dans la mesure où c'est cet argent sale soviétique qui alimente mon salaire. La critique est justifiée. Je dois donc commencer par clarifier mes intérêts propres vis-à-vis de la situation.  

Je suis impliqué émotionnellement dans le devenir de la société. Ce n'est pas une surprise : j'y travaille depuis 4 ans maintenant. Quel privilège de collaborer au quotidien avec des individus si talentueux, si intelligents, bla bla bla. Vous avez lu ces mots un millier de fois. Mais si vous les avez déjà écrits, si vous les pensiez sincèrement, vous savez à quel point il s'agit d'une chose précieuse et unique. Le GReAT est la meilleure équipe avec laquelle il m'ait été donné de travailler, alors vous imaginez bien que j'aspire à ce que la structure qui nous abrite prospère ! Mais d'un autre côté, mon intérêt financier et matériel dans Kaspersky est limité. Bien sûr, la société paye mon salaire. Mais je veux croire qu'à ce stade, mes travaux ont reçu suffisament d'attention pour garantir que je parviendrais à trouver un nouveau poste dans la semaine si d'aventure on me mettait à la porte. Cher RSSI qui lit ces mots, si jamais je vous envoyais mon CV, le considéreriez-vous avec bienveillance ? Non ? Allez vous faire voir – je n'ai jamais voulu travailler dans votre boîte toute naze de toute manière – mais admettez au moins que certains seraient prêts à envisager une embauche. Là où je veux en venir, c'est que ma sécurité financière ne dépend pas de Kaspersky. Dans le cadre de cette discussion, j'aimerais que vous considériez que les quelques déclarations contenues dans cet article ne me rapporteront strictement rien sur le plan financier.  

"Déclarations ? Mais quelles déclarations, Ivan ? Tout ce que je vois jusqu'ici, c'est un empilement maladroit de paragraphes visant à établir une crédibilité toute relative." Okay, d'accord, j'arrête de tourner autour du pot.

Est-il temps de se débarrasser des produits Kaspersky ?

Je m'en fous. Sérieusement. Je vous l'ai dit, ma sécurité financière n'est pas en jeu. Si vous choisissez de changer de crèmerie, la seule différence dans ma vie est que j'aurai un peu moins de télémétrie pour écrire mes rapports d'analyse de risque ("threat intelligence" dans la langue de Shakespeare, mais les gens branchés disent juste "threat intel"). Devinez quoi ? Je m'y perds dans toutes ces données. Je m'y perds tellement que je laisse cet aspect de nos travaux à des collègues plus doués. Mais si vous prenez la décision de nous quitter, faites-le pour les bonnes raisons (par exemple, au profit d'un meilleur produit). Par pour celles (délirantes) qui resurgissent à chaque pic de tensions géopolitiques, ni les plus raisonnables (quoique tout aussi infondées) apparues cette fois-ci. Certaines étant, soit dit en passant, largement entretenues par nos concurrents, et ce à la moindre occasion. Merci pour l'élan de confraternité, les gars. Si vous le permettez, j'aimerais revenir sur ces raisons une par une, façon question-réponse.

Y a-t-il une porte dérobée dans les solutions commercialisées par Kaspersky ?

Cette accusation hante la société depuis 2017 et n'a à ce jour jamais été étayée de quelque manière que ce soit. Le code source des produits peut être consulté dans nos centres de transparence. Cela ne vous suffit pas ? Vous me demandez d'apporter la preuve d'un négatif, mais à défaut je peux peut-être vous convaincre par une absence de preuve. Nos adversaires, les attaquants sophistiqués ("APT"), analysent nos outils en profondeur. Je le sais, parce qu'ils ne sont pas stupides et qu'ils ont des raisons existentielles de découvrir des moyens d'échapper à notre vigilance. Disséquer nos produits leur permet de découvrir nos angles morts. En 2022, si la NSA n'a pas ausculté la moindre instruction de notre antivirus, quelqu'un quelque part a commis une grave faute professionnelle. S'il y avait des fonctionnalités cachées, ne les auraient-ils pas découvertes ? Peut-on croire qu'ils se seraient abstenus d'exposer nos pratiques abjectes au vu et au su de tous ? Il est temps d'envisager que cette porte dérobée n'existe tout simplement pas.

Aha ! Mais certains domaines gouvernementaux russes pointent vers des adresses IP de Kaspersky !

Vous faites sans doute allusion à cet article. Il ne s'agit pas de la preuve irréfutable que vous imaginez. Certains sites gouvernementaux se trouvent derrière un proxy anti-DDoS opéré par Kaspersky, rien de plus. Toute insinuation que Kaspersky et le gouvernement russe sont si enchevêtrés qu'ils partagent la même infrastructure est au mieux incompétente, au pire malveillante.  

Cela signifie que Kaspersky fournit des services au gouvernement russe. Comme une protection anti-DDoS, des formations en analyse de malwares (je peux l'affirmer) et des antivirus (j'imagine). Qu'est-ce que vous imaginiez ? La Russie n'est pas notre seul client étatique.

Mais la situation a changé. Et si la Russie forçait Kaspersky à coopérer désormais ?

Le QG de la société se trouve à Moscou, et la majorité des développeurs s'y trouvent également. En effet, ils sont contraints de respecter les lois du pays et ont des familles sur lesquelles on pourrait faire pression. Depuis le début de cette crise, les procédures internes ont été renforcées (au passage, elles l'ont été constamment au fil des années) pour prendre en compte la possibilité qu'un employé mal intentionné fasse un usage illégitime des fonctionnalités de nos produits. Vous pouvez toujours demander l'accès au code source, ou consulter la nomenclature logicielle (SBOM) si vous suspectez une entourloupe.  

Cela étant dit, j'aimerais prendre un instant pour attirer l'attention sur cette obsession étrangement spécifique dont Kaspersky fait l'objet. Vous savez qu'il ne s'agit pas du seul logiciel d'origine russe, n'est-ce pas ? Faisons une petite expérience.

Cette focalisation sur Kaspersky relève de la myopie. Si vous pensez que le régime de Poutine est susceptible d'utiliser son industrie high-tech pour nuire à vos intérêts, il faut voir plus grand. Ne nous faites pas confiance, pas plus que vous ne devriez faire confiance à tout autre fournisseur après l'incident SolarWinds. Surveillez attentivement votre réseau, soyez à l'affut d'évènements suspects, et si vous établissez un jour un lien entre une intrusion et nos produits, soyez celle ou celui qui tuera l'entreprise. Je jure solenellement que si cela a lieu, je rejoindrai cette croisade sans réserves.

Quid de la continuité des opérations ?

L'ensemble des employés de Kaspersky a reçu des informations explicites sur le fait que la continuité des opérations est la priorité absolue. Des contre-mesures sont en place pour garantir que les mises à jour logicielles et les nouvelles signatures pourront être fournies même si la Russie se déconnecte d'internet, grâce aux datacenters situés en Suisse et ailleurs. Les sanctions internationales qui visent plusieurs banques russes ne vous concernent pas, puisqu'en toute vraisemblance votre relation commerciale est établie avec une filiale locale (telle que Kaspersky France). Même si le gouvernement russe mettait en place des contre-sanctions extravagantes interdisant tout commerce avec l'occident, cela n'y changerait rien.  

Les chefs-à-plume de Kaspersky participent actuellement à des réunions, dans lesquelles j'aimerais beaucoup me faufiler, où les scénarios les plus farfelus sont étudiés. Je ne suis malheureusement pas en mesure d'en dévoiler la teneur, mais je vous prie de me croire sur parole quand j'affirme que les solutions envisagées sont tout aussi saugrenues.Les opérations ne seront pas affectées par quoi que ce soit d'autre qu'une décision de rompre vos liens avec Kaspersky.  

Si vous êtes client de nos rapports de threat intelligence (que votre goût sûr soit loué), sachez que l'équipe GReAT est composée de plus de quarante experts implantés partout dans le monde. Nous gardons une liberté éditoriale totale, et je peux personnellement garantir que nous avons la capacité de publier ces rapports quoi qu'il se passe en Russie.  

Tout ça pour dire... J'affirme en toute sincérité que la guerre n'a aucun impact sur votre relation "technique" avec Kaspersky. Certains ont cependant soulevé des considérations éthiques sur lesquelles je souhaite également m'attarder.

Quelle est la position de Kaspersky vis-à-vis de "l'opération spéciale" de Vladimir Poutine en Ukraine ?

Cette question appelle une réponse composée. En premier lieu, il faut souligner qu'à l'exception notable des vendeurs d'armes, il n'existe pas une société dans le monde qui se réjouisse de la guerre. Si vous n'avez pas foi en l'humanité (et je vous comprends), croyez au moins aux logiques implacables du capitalisme. La guerre n'augure rien de bon pour les affaires. Elle dévaste l'économie, provoque un écroulement des taux de change, ferme l'accès à des marchés entiers. Considérons les oligarques russes : croyez-vous vraiment qu'ils se réjouissent de voir leurs yachts saisis et leurs actifs financiers gelés au nom d'une vague notion de fierté nationale ? Kaspersky, en tant que société, ne désire rien de plus qu'un écosystème mondial affichant une croissance en PIB de 5-10%, au sein duquel on peut commercialiser ses produits sereinement. Kaspersky déteste la guerre.

Mais qu'en est-il de ce tweet d'Eugène Kaspersky, alors ? Les entreprises sont composées d'individus, elles peuvent donc mécaniquement produire ou servir une idéologie qui transcende la recherche du gain immédiat. Okay, vous m'avez eu, je vais jouer cartes sur table. J'ai été très déçu de ce tweet. C'est le cas de plusieurs membres de mon équipe. J'aurais préféré qu'on s'abstienne de communiquer plutôt que de publier ça. Mais prenons un instant pour évoquer sa signification.  

Je ne prétends pas connaître la genèse de ce tweet. Ce que je sais, c'est que les personnalités publiques ne gèrent pas toujours leurs propres comptes sur les réseaux sociaux, et que ceux-ci sont parfois délégués en partie à des équipes spécialisées. Vu le sujet de ce tweet, je suis prêt à parier tout ce que vous voulez qu'il a fait l'objet d'une quantité déraisonnable de réunions ; réunions durant lesquelles on n'aura pas manqué de pinailler sur chaque mot. Suis-je satisfait du résultat final ? Bien sûr que non, je le répète. Mais si après sa lecture, vous avez pensé "wow, Eugène est vraiment en train de suggérer un compromis", si vous imaginez qu'il s'agit d'une représentation fidèle de l'opinion de qui que ce soit, vous vous fourvoyez lourdement.  

Bien sûr, ce message n'a pas été critiqué parce qu'il constituait une prise de position. Au contraire : on a avant tout reproché à Eugène Kaspersky d'avoir voulu rester neutre, tout comme on interprétait son silence comme de la complicité quelques jours auparavant. Pourquoi ne pas condamner publiquement l'invasion de l'Ukraine ? Vous savez très bien pourquoi.  

Au moment où j'écris ces mots, plus de 6 500 citoyens russes ont été arrêtés pour s'être opposés à la guerre. Il est facile de réclamer le courage de son prochain. Facile de demander à ce qu'il risque la prison, peut-être même la torture, pour vos opinions (ou même les siennes). Nous voulons tous croire que, face à cette situation, nous nous montrerions à la hauteur de nos convictions. Tel David contre Goliath, nous nous soulèverions contre l'oppresseur. Voici un petit test rapide pour tous les guérilleros du canapé : l'Ukraine a lancé un appel aux volontaires étrangers prêts à rejoindre le combat. Accepteriez-vous d'aller défendre ces idéaux vous-mêmes ? C'est bien ce qu'il me semblait.  

Descendez de vos grands chevaux. Nous n'avez aucun droit d'exiger le sacrifice d'autrui.

Ce que ça signifie, de travailler pour une société russe

Il ne fait aucun doute que tôt ou tard, on me demandera comment je peux supporter de me compromettre par association avec le gouvernement russe. Réponse simple : ce n'est pas le cas. Je n'ai aucun lien avec celui-ci. Faut-il vraiment rappeler la distinction entre un gouvernement, ses citoyens et le secteur privé ? Je ne soutiens même pas mon propre gouvernement, comment pouvez-vous croire que je soutiens le leur ? Comment imaginer que c'est le cas des Russes, dans la mesure où on les a privés du luxe de le choisir ?  

Je refuse de quitter une société dans laquelle je m'épanouis, qui me traite bien à tous les égards et fournit des services irréprochables simplement parce qu'elle a eu le malheur d'être fondée en Russie. Je ne reconsidérerais cette position que s'il devenait impossible d'accomplir mes missions, ou si la structure défendait soudain des valeurs divergentes des miennes. En ces temps troublés, l'ethos de Kaspersky consiste à protéger nos clients envers et contre tout : les ukrainiens, et oui, même les Russes. À vrai dire, j'ai passé toute la semaine dernière à m'user les yeux sur IDA Pro pour documenter les activités cyber qui se déroulent actuellement en Ukraine.  

La cerise sur cette absence de gâteau, c'est qu'en tant que français, je peux qualifier ce qui se passe en Ukraine de "guerre" ou "d'invasion" sans me mettre en danger. Ce n'est pas le cas de beaucoup de mes chers et estimés collègues. Lorsque cette "opération spéciale" a été annoncée, ils n'en croyaient pas leurs yeux. Plusieurs ont pleuré. Tous ont vu leurs économies fondre comme neige au soleil, avant d'allumer leur téléphone et constater que le monde les conspuait désormais. Et vous voudriez que je leur tourne le dos ?  

Votre haine ne mène à rien. Elle ne fait qu'ajouter aux souffrances de ceux qui souffrent déjà. Votre vertu performative a un coût, et ce n'est pas vous qui le payez.  

Je ne quitterai pas mon poste au sein du GReAT. Travailler pour une société russe ne signifie pas que je soutiens le gouvernement russe – je peux affirmer de manière catégorique que ce n'est pas le cas. Cela signifie que je vais continuer à endurer pour elle les dénigrements sur les réseaux sociaux, sans jamais parvenir déterminer s'ils sont plus bêtes ou plus méchants. Cela signifie que je ne quitterai pas le navire, abandonnant derrière moi mes collègues et amis russes réduits au silence. À la place, je ferai de mon mieux pour porter leur voix.  

Ça, c'est pour eux : "j'emmerde cette guerre, et j'emmerde ceux qui l'ont commanditée".  

À bientôt sur Twitter.